Por qué el cumplimiento de la HIPAA es vital para tu empresa

La HIPAA es la Ley de Portabilidad y Responsabilidad de los Seguros Médicos. Es la legislación que garantiza la privacidad y seguridad de tu información médica protegida (PHI). Abarca el modo en que los proveedores de atención médica y las empresas asociadas deben manejar tus datos y proteger tu información médica, y proporciona las normas necesarias para garantizar que los datos de la PHI se almacenen, manejen y accedan correctamente en todo momento.

También establece importantes multas y sanciones para las personas y organizaciones que manejen datos confidenciales de PHI y no cumplan las normas.

La PHI incluye los siguientes:

• Todos tus historiales médicos, como resultados de análisis de sangre o una resonancia magnética.
• Registros de facturación en la consulta del médico.
• Conversaciones (correos electrónicos, notas) sobre tu salud entre tú y el médico, tu médico y otro personal médico, o tu proveedor sanitario y tu compañía de seguros.

En un principio, solo los médicos, hospitales y compañías de seguros tenían que cumplir las especificaciones de la HIPAA, ya que eran las únicas personas y organizaciones con acceso a la PHI. Se conocen como Entidades cubiertas e incluyen cualquier organización que proporcione “tratamiento, pago y operaciones de atención médica”.

Las entidades cubiertas incluyen las siguientes:

• Médicos y sus consultorios
• Hospitales
• Farmacias
• Compañías de seguro
• HMO (organización para el mantenimiento de la salud)

Sin embargo, una actualización de 2013 aumentó el ámbito de aplicación de la HIPAA para tener en cuenta el creciente uso de la externalización y los proveedores en la nube en la atención médica. Cualquier servicio que transmita, almacene o reciba datos de la PHI se considera ahora un asociado comercial y tiene que cumplir la HIPAA.

Los asociados comerciales incluyen los siguientes:

• Un servicio de transcripción médica que presta servicios a un médico.
• Una empresa de SaaS que ofrece historias clínicas electrónicas en la nube para médicos.
• Una empresa de análisis que procesa datos médicos.

Para que una entidad cubierta o un socio comercial cumplan la HIPAA, deben hacer 4 cosas:

1. Disponer de salvaguardias para que los datos de la PHI estén siempre protegidos.
2. Restringir el acceso a los datos de la PHI únicamente a las personas necesarias para cumplir el objetivo previsto.
3. Disponer de Acuerdos de los negocios asociados (BAA) con los proveedores de servicios para garantizar la seguridad de los datos de la PHI.
4. Disponer de procedimientos y políticas para limitar el acceso a los datos de la PHI, y de formación para enseñar a los empleados y usuarios la seguridad y privacidad de los datos.

De las 4 normas de la HIPAA (Seguridad, Privacidad, Cumplimiento y Notificación de infracciones), la Norma de Seguridad de la HIPAA es a la que los desarrolladores tienen que prestar mucha atención.

Para las empresas de SaaS que deseen trabajar con proveedores de atención médica, organizaciones médicas o socios comerciales que ya trabajen en el sector, la norma de seguridad establece cómo la aplicación o el servicio debe gestionar los datos de la PHI.

Esta norma establece las salvaguardias técnicas que garantizan que el acceso a los datos esté controlado, que los datos estén seguros y que las personas estén debidamente autenticadas.

• Control de acceso. Deben existir políticas y procedimientos para garantizar que solo los usuarios autorizados puedan acceder a los datos de la PHI. Esto podría incluir identificadores únicos para cada usuario, procedimientos de acceso de emergencia y procedimientos de cifrado.
• Controles de auditoría. Deben existir mecanismos para registrar la actividad en el sistema y examinar el acceso de las personas.
• Controles de integridad. No se debe alterar ni destruir indebidamente ningún dato de la PHI y se deben establecer procedimientos para que los auditores puedan confirmar si esto ha sucedido.
• Seguridad de transmisión. Deben establecerse medidas de seguridad para garantizar que no se produzca ningún acceso no autorizado a los datos de la PHI mientras se transfieren a través de una red.

El uso de las normas de la HIPAA te abre las puertas a nuevos clientes en un mercado en crecimiento. El 67 % de las organizaciones de atención médica utilizan actualmente un servicio SaaS en su flujo de trabajo, y el 92 % de los proveedores de atención médica afirman que pueden ver un uso futuro del SaaS en su organización. Al aplicar las normas de la HIPAA, podrás acceder al sector de atención médica, que mueve 3 billones de dólares.

Si trabajas para cumplir la HIPAA, podrás llegar a 3 nuevas bases de clientes:

• Entidades cubiertas
  • El 80 % de los médicos y el 60 % de los hospitales utilizan ya historias clínicas electrónicas (EHR). Estas empresas exigen el cumplimiento de la HIPAA para cualquier servicio en la nube que utilicen.
• Asociados comerciales
  • Al igual que las entidades cubiertas, otros socios comerciales que procesan la PHI pueden estar seguros de que tu servicio también protegerá cualquier dato. A medida que crezca el mercado de la nube para la atención médica, las soluciones de terceros para asociados comerciales podrán comercializarse como tales.
• Tecnologías de salud y para llevar puestas
  • Aunque en la actualidad los dispositivos para llevar puestos no tienen por qué cumplir la HIPAA, la tendencia a compartir datos personales de salud a través de estos dispositivos y aplicaciones hace que estas empresas difuminen los límites entre lo que sí debe cumplir la HIPAA y lo que no. Por ejemplo, Fitbit ahora cumple con la HIPAA para que las empresas B2B puedan compartir los datos de su programa Fitbit Wellness con entidades cubiertas.

Auth0 ofrece Acuerdos de los negocios asociados a la HIPAA a los clientes que manejan datos de la PHI. Esto permite a las empresas cumplir la HIPAA utilizando Auth0 como servicio de identidad y autenticación.

Aquí hay 2 salvaguardas técnicas de la norma de seguridad de la HIPAA abordadas por Auth0:

Desconexión automática

La desconexión automática es una parte “abordable” de los requisitos técnicos de la norma de seguridad. Esto no significa que sea opcional. Las especificaciones direccionables deben aplicarse si es razonable y apropiado hacerlo.

Puedes configurar Auth0 para que cierre automáticamente la sesión de un usuario después de cierto tiempo de inactividad fácilmente utilizando el panel de control. Solo tienes que establecer el tiempo de caducidad del token web JSON en la configuración de la aplicación, por el tiempo de inactividad predeterminado. En este caso, la aplicación cerrará automáticamente la sesión del usuario tras 15 minutos de inactividad:

Autenticación

Para mantener la privacidad y seguridad de los datos, es importante autenticar correctamente a los usuarios, de modo que solo puedan acceder a las cuentas quienes dispongan de las credenciales necesarias. Mediante Auth0, un socio comercial o entidad cubierta puede utilizar su propia solución de inicio de sesión federado a través de SAML para controlar el acceso. Implementar SAML es fácil como Auth0, haz clic aquí para ver el video tutorial.